21春南开大学《计算机病毒分析》在线作业参考答案

A．EAX

B．EBX

C．ECX

D．EDX

A．静态链接

B．动态链接

C．运行时链接

D．转移链接

A．ApateDNS

B．Netcat

C．INetSim

D．Wireshark

内存中的（)节用于函数的局部变量和参数，以及控制程序执行流。
A、数据
B、堆
C、代码
D、栈

A．文件名

B．病毒文件特征库

C．文件类型

D．病毒文件种类

异常机制不允许一个程序在普通执行流程之外处理事件。（)
A.正确
B.错误

A．IDAPro有一个在识别结构方面很有用的图形化工具

B．从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列

C．switch中各无条件跳转相互影响

D．使用了一个跳转表，来更加高效地运行switch结构汇编代码

调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数。（)
A.正确
B.错误

A．保存恶意代码

B．通过使用WindowsDLL

C．控制内存使用DLL

D．通过使用第三方DLL

下面说法错误的是（)。
A、启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的可执行程序或者DLL程序之前，从该节将恶意代码提取出来
B、隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程中，而被注入的进程会不知不觉地运行注入的代码
C、DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最常使用的秘密加载技术
D、直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行，直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码，但更多的时候，它用来注入shellcode

A．日志

B．监视

C．帮助

D．标注

A．木马会自我复制

B．木马具有隐蔽性

C．木马不具感染性

D．木马通过网络传播

A．数组

B．结构体

C．链表

D．变量

Strings程序检测到的一定是真正的字符串。（)
A.正确
B.错误

IP地址127.0.0.1会被表示为0x7F000001，而在小端字节序下，表示为0x7F000001。（)
A.正确
B.错误

A．WORD

B．DWORD

C．Habdles

D．Callback

WinDbg不允许覆盖数据结构上的数据。（)
A.正确
B.错误

A.非法经济利益
B.经济效益
C.效益
D.利润

Windows并不要求钩子子程的卸载顺序一定得和安装顺序相反。（)
A.正确
B.错误

A．操作注册表

B．列举窗口

C．创建目录

D．搜索文件

A．登录

B．注销

C．关机

D．锁屏

一个网络程序通常有两个端点：服务端和客户端。而恶意代码只能是这两端中客户端。（)
A.正确
B.错误

A．C键

B．D键

C．shift+D键

D．U键

A．函数名

B．代码的名字

C．数据的名字

D．字符串

A．红色

B．黄色

C．蓝色

D．绿色

机器码层由操作码组成，操作码是一些八进制形式的数字。（)
A.正确
B.错误

进程监视器视图每一秒更新一次。默认情况下，服务以粉色高亮显示，进程显示为蓝色，新进程为绿色，被终止进程则为红色。绿色和红色的高亮显示是临时的，当进程被完全启动或终止后颜色就会改变。（)
A.正确
B.错误

A．垃圾指令

B．多态技术

C．变形技术

D．单项执行技术

A．C键

B．D键

C．shiftD键

D．U键

反向shell是从攻击方发起一个连接，它提供被攻击者通过shell访问攻击方机器的权限。（)
A.正确
B.错误

A．ApateDNS

B．Netcat

C．INetSim

D．Wireshark

A．通用寄存器

B．段寄存器

C．状态寄存器

D．指令指针

A．识别涉及加密算法使用的字符串

B．识别引用导入的加密函数

C．搜索常见加密常量的工具

D．查找高熵值的内容

在合法的PE文件中，可以带有可执行文件。（)
A.正确
B.错误

A．恶意代码具有传染性

B．可以进行隔离

C．恶意代码难以清除

D．环境容易搭建

当单击ResourceHacker工具中分析获得的条目时，看不到的是（)。
A、字符串
B、二进制代码
C、图标
D、菜单

当重命名假名时，你只需要在一个地方做一次，新名字会扩散到任何被引用的地方。（)
A.正确
B.错误

当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（)。
A、软件执行断点
B、硬件执行断点
C、条件断点
D、非条件断点

A．线程标签显示所有活跃的线程

B．TCP/IP标签活跃的连接和进程监听的端口

C．镜像标签显示磁盘上可执行程序的路径

D．字符串标签，通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串，来看两者是否相同

网络特征码可以在没有进行恶意代码分析时创建，但在恶意代码分析帮助下提取的特征码往往更加有效的，可以提供更高的检测率和更少的误报。（)
A.正确
B.错误

A．moveeax,ebp+var_4

B．subeax,ebp+var_8

C．subeax,1

D．addeax,1

A．moveax,dword_40CF60

B．moveax,ebp-4

C．moveax,ebp+var_4

D．movdword_40CF60,eax

A．遍历SSDT表

B．使用查杀病毒的软件

C．查找异常的函数入口地址

D．ntoskrnl.exe的地址空间是从804d7000到806cd580

A．HKEY_LOCAL_MACHINE(HKLM)

B．HKEY_CURRENT_USER(HKCU)

C．HKEY_CLASSES_ROOT

D．HKEY_CURRENT_CONFIG

A．;

B．：

C．shift

D．ctrl

A．HTTP

B．FTP

C．IRC

D．DNS

A．阻塞状态

B．计时等待状态

C．可警告的等待状态

D．被终止状态

A．cdecl

B．stdcall

C．fastcall

D．压栈与移动

在操作系统中所有的文件都不可以通过名字空间进行访问。（)
A.正确
B.错误

进程监视器（Process Monitor)是Windows系统下的高级监视工具，它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。它结合并增强了两种工具的功能：文件监视器FileMon和注册表监视器RegMon。（)
A.正确
B.错误